في البداية يجب أن نوضح لك ما هو Pwn2Own .
ما هي مسابقة Pwn2Own?
الحقيقة هي أنه لا توجد أي معلومات في المحتوى العربي بأكمله على مسابقة Pwn2Own و هذا ما رأيته من صفحة wikipedia حيث أنه لا توجد أي مقالة بالعربية تتحدث على مسابقة Pwn2Own التي تعقد كل سنة و كانت أول مرة سنة 2007 .
لا علينا من كل هذا الكلام .
مسابقة Pwn2Own لإكتشاف الثغرات و التي تعقد كل سنة في مؤتمر الأمن المعلوماتي CanSecWest.
حيث يأتي للمسابقة أقوى الهاكرز من جميع أنحاء العالم; و يتم إعطاء الهاكرز أهداف محددة سواء أنظمة تشغيل أو برامج أو غيرها; و الفائز هو من يجد أكبر عدد من الثغرات في أسرع وقت ممكن و إسم المسابقة يتم إختصاره الى 3 حروف و هي pwn.
ربما في المستقبل القريب سأقوم بترجمة الموضوع كامل الى العربي من صفحة ويكيبيديا .
في مسابقة Pwn2Own لسنة 2018 كانت هناك العديد من الإنجازات و تم إكتشاف العديد من الثغرات على العديد من الأنظمة و البرامج و كانت هناك أسماء علاقة و على أبرزها Apple و Microsoft و Mozilla و Oracle.
و خلال المسابقة أثبت الهاكرز أصحاب القبعة البيضاء قوتهم الكبيرة جدا في إكتشاف الثغرات و برهنو أنه لا يوجد أي نظام لا يمكن إختراقه, بل الإختراق في ثواني معدودة ….!!! .
في اليوم الأول (14 مارس ، 2018) في Pwn2Own ، إستهدف الهاكر Richard Zhu متصفح سفاري لشركة آبل وإستطاع تخطي تقنية sandbox و لكنه فشل في هذا في 30 دقيقة الأولى المخصصة له . ولكن عندما قام الهاكر Richard Zhu بإستهداف متصفح Edge من Microsoft عن طريق إستغلال 2 من الثغرات تمكن من اختراق المتصفح و حصل على 70،000 دولار.
و في نفس اليوم قام هاكر آخر من الفريق المشهور phoenhex بإستهداف Oracle VirtualBox و بافعل تمكن منها و حصل Niklas على مبلغ 27،000 دولار .
ونجح هاكر آخر من فريق phoenhex و الذي يدعى Samuel Groß من استهداف متصفح Apple Safariباستخدام خطأ تحسين JIT في المتصفح ، و تمكن من تنفيذ التعليمات البررمجية RCE على المتصفح و بهذا حصل على 65000 دولار.
Confirmed! @5aelo used a JIT optimization bug in the browser, a macOS logic bug, & a kernel overwrite to execute code to successfully exploit Apple Safari. This chain earned him $65K & 6 points Master of Pwn points. pic.twitter.com/iLfNFnXzzs— Zero Day Initiative (@thezdi) March 15, 2018
و في اليوم الثاني ، (15 مارس 2018) ،قام Richard Zhu بالعودة بقوة و قام بإختراق Firebox عبر Integer overflow و قام بتخطي الصلحيات.
و مقابل قرصنته ل Firefox حصل Richard Zhu على مبلغ 50،000 دولار وكذلك جائزة ماجستير في Pwn. و في مجموعه حصل الهاكر على 120،000 دولار من قرصنة متصفح Microsoft و Edge و Firefox.
Congrats to @RZ_fluorescence on being named Master of Pwn for #Pwn2Own 2018! His exploits for Edge and Firefox earned him $120,000, this sweet jacket, and the trophy. We hope he returns in the future to defend his title. pic.twitter.com/ljKhmjJrHn— Zero Day Initiative (@thezdi) March 16, 2018
ثم جاء Markus Gaasedelen و Nick Burnett و Patrick Biernat من Ret2 Systems Inc. حيث قاموا بإستهداف متصفح Safari على نظام macOS بنواة EoP . و وفقا لقواعد Pwn2Own , يجب على الهاكرز إختراق النظام أو البرنامج في أول ثلاثة محاولات ; و لكن تمكن الفريق من الإختراق في المحاولة الرابعة .
و في الأخير لم تتمكن شركة Ret2 Systems من الفوز بأي جائزة مالية ، ولكن قامت Pwn2Own بالإبلاغ على الثغرات لشركة Apple من خلال الطرق العادية لبرامج المكافئات.
و كان آخر فريق من الهاكرز هو MWR Labs حيث حاولوا تجريب حظهم في Pwn2Own حيث قام الهاكرز Alex Plaskett و Georgi Geshev و Fabi Beterke بإستهداف متصفح Safari و حاولو تخطي تقنية sandbox و بالفعل نجحو في هذا عبر buffer underflow و تمكنو من تخطي sandbox و حصلو على 55،000 دولار و 5 نقاط ماستر Pwn.
و في الأخير كانت الجوائز المالية في Pwn2Own بقيمة $267,000 و إستمرت المسابقة لمدة يومين و كان مجموع الثغرات كالتالي :
- ثغرة على متصفح موزيلا فَيرْفُوكْس.
- ثغرتين على أوراكل.
- أربعة ثغرات على مايكروسوفت.
- خمسة ثغرات على أبل.
يرجى العلم أن المسابقة للهاكرز أصحاب القبعة البيضاء. مما يعني أنه سيتم الإبلاغ على الثغرات للشركات مقابل مبالغ مالية بالطبع .
